대규모 언어 모델의 코드에서 트로이 목마 서명에 대한 연구

트로이 목마와 비트로이 목마 클래스 간의 선이 이동하지 않는 이유는 두 가지 요인에 기인합니다. 첫째, 코드 모델이 이미지 모델보다 훨씬 크기 때문에 트로이 목마의 영향이 가중치 매개변수의 수가 많은 코드 모델 전체에 흩어져 있기 때문입니다. 두 번째로, 코드 트리거는 이미지 모델의 트리거와는 달리 훨씬 은밀하며, 가중치에 덜 영향을 미칩니다. 다시 말해, 코드 모델은 매우 적은 매개변수 변경만으로도 죽은 코드 트리거와 같은 트로이 목마를 학습할 수 있습니다. 이러한 사실과 우리의 결과는 가중치 분석만으로 이러한 트로이 목마 코드 모델을 감지하는 문제가 얼마나 어려운지 보여줍니다.

이미지 모델에서는 트로이 목마와 비트로이 목마 클래스 간의 선이 이동하는 것이 더 쉬운 이유는 이미지 모델의 작은 아키텍처(예: Inception-v3, DenseNet-121, ResNet50) 때문입니다. 이러한 작은 모델에서는 트로이 목마의 영향이 더 명확하게 드러나기 때문에 가중치 분포에서 선이 이동하는 것을 쉽게 관찰할 수 있습니다. 반면에 코드 모델은 이미지 모델보다 훨씬 크고, 트리거가 더 은밀하기 때문에 선이 이동하지 않는 것으로 나타납니다.

트로이 목마 코드 모델을 가중치 분석으로 감지하는 문제의 복잡성을 극복하기 위한 대안적인 방법으로는 스펙트럼 서명이나 백도어 키워드 식별과 같은 다른 방어 접근 방법을 사용할 수 있습니다. 스펙트럼 서명은 트로이 목마가 생성한 독특한 입력 샘플의 흔적(학습된 표현)을 얻는 데 의존하며, 백도어 키워드 식별은 주어진 입력에 트리거가 있는지 확인하기 위해 각 토큰을 순서대로 마스킹하는 방법입니다. 또한 ONION과 OSeql과 같은 기존 기술은 다른 사전 훈련된 모델을 사용하여 입력의 퍼플렉서티를 계산하고 토큰을 제거한 후 퍼플렉서티가 급격히 변화하는 트리거 단어를 감지하는 방법을 사용합니다. 이러한 방법은 가중치 분석을 사용하지 않고도 트로이 목마를 탐지할 수 있는 블랙박스 기술로, 모델의 내부 정보(예: 매개변수 가중치)를 사용하지 않고 여러 번의 추론 호출이 필요합니다.